高校校园网IPv6 的部署与管理策略
——以攀枝花学院IPv6建设为例

攀枝花学院 张杰

为彻底解决IPv4 地址枯竭问题，形成互联网技术领先产业，解决新技术问题，确保网络信息安全，高校应加强下一代互联网技术的应用和研究，从IPv6 建设原则、网络架构、网络过渡、网站改造、网络安全分析及策略等方面提供建设经验和方法，为广泛发展IPv6 提供建设思路和建设策略。

高等学校作为新技术应用的创新地和应用场所，是下一代互联网技术的创新和应用的主战场。为适应新时代高校的教学环境要求，全面落实教学应用的深度融合，快速搭建下一代互联网，安全有效地解决教育业务管理系统、门户网络系统、安全管理业务系统的IPv6 升级和访问。

1 IPv6 的部署应用的背景

为彻底解决IPv4 地址枯竭问题，形成领先全球的互联网技术产业，保证我国信息安全，高校应加速发展IPv6，解决发展滞后、发展缓慢的现状，迎头开展下一代互联网IPv6 的网络部署和建设，建立协同、优化、规范发展的环境，实现IPv6 部署平稳安全推进[1]。

目前，我国IPv6 技术上有一定的技术储备，但发展较晚，普及率较低，在世界上占有率较低，近年来国家大力推广，发展速度显著提升，但与之配套建设与管理经验明显不足。我国的本土IPv6 发展模式和建设模式与国际上优势国家发展方式和方法有所区别，相关研究成果的共享不是很畅通，所以我国只有让高校积极参与IPv6 的升级改造，在IPv6 的部署和管理中不断积累相关的技术和管理经验，为下一步广泛发展IPv6 提供建设思路和建设策略。

2 IPv6 建设与部署

2.1 校园网IPv6 建设原则

建设IPv6 应树立高质量发展理念，严格遵循统筹规划、突出重点、注重实效为总原则。根据学校发展情况、应用情况和经济实情做出总体规划和分步实施，建议设计上适度超前的原则，保持技术先进性。突出重点是紧密结合高校的教学和科研特点，融合校园教学信息化应用，突出满足业务需求。注重实效是考虑IPv6 建设可扩展性、经济型、利用效率等因素，处理好满足现在、面向未来的关系[2]。

2.2 IPv6 网络架构

IPv6 发展将经历纯IPv4 阶段、IPv4 向IPv6 过渡阶段和纯IPv6 阶段，但一般升级IPv6 都将处于IPv4 向IPv6 过渡阶段，随着时间和使用习惯的改变逐步实现纯IPv6 升级换代，如图1 所示。

图1 IPv6 发展阶段图Fig.1 IPv6 development phase diagram

2.3 IPv4 向IPv6 过渡阶段

根据我国互联网建设的现状，IPv4 和IPv6 网络将会保持共存的情况，根据发展的要求，实施逐步发展，最终实现升级换代的目标。在IPv4 和IPv6 共存的情况下，必然要解决IPv4 和IPv6 互联互通的组网技术。目前主要有双栈技术、隧道技术和翻译技术等。要实现IPv6 的顺利过渡，必须解决链路过渡、终端过渡和网站过渡等问题。

2.3.1 链路过渡

用户首先是向CNNIC（中国互联网络信息中心）申请IPv6 地址；然后就是将网络接入到IPv6 互联网当中，用户需要通过自有AS 与IPv6 网络建立连接，搭建IPv6的硬件和系统环境，通过网络节点做好地址转换，配置IPv6 运行的基础网络服务，如网络认证、自动分配IP 地址、域名解析等系统服务。

2.3.2 终端过渡

双栈网是基于现有网络的升级，为用户提供便捷的IPv4/IPv6 双栈网接入、认证和管理功能。IPv6 升级方案需要根据网络拓扑结构和路由规划具体确定，一般情况下，使用OSPFv3 的路由技术可以有效连接核心层网，将划分的若干网络区域路由聚合收敛，提高数据信号发送效率。IPv4 路由采用OSPFv2，IPv6 路由采用OSPFv3，可在不同接口上配置OSPFv3 的链路开销值，从而影响路由的计算，保证存在万兆链路数据优先走万兆链路。网络出口可采用静态缺省路由或BGP4 与IPv6 网络核心节点相连[3]。

在IPv6 地址的全面部署前，应构建具备可管理、可持续发展的IPv6 地址科学规划策略，避免IPv6 地址语义过载带来负面影响。IPv6 地址实现方式可采用自动分配IP 地址（DHCPv6）技术方法，将经过注册的IPv6 自动分配给用户，同时可以部署SAVI 等网络安全技术。在一些特殊需求的交换机、服务器、物联设备等，为了便于管理，可以配置静态IPv6 地址，方便设备的有效管理。

2.3.3 网站过渡

双栈升级包括网络层改造、设备层改造、业务系统改造和网站代码改造等方面内容。网站过渡首先做好网络层和设备层改造，在网站的网络区域配置IPV6 可运行的物理环境，做好相应地址策略和基础服务，调研在用的各应用系统，如各业务管理系统、网络安全系统、数据库系统，开启IPv6 协议，支持IPv4/IPv6 协议。对网站代码不支持IPv6 协议栈的网站，修改前要做好备份，修改工作较为复杂，需要谨慎处理，拓扑图如图2 所示。

图2 “翻译”模式的IPv6 网络拓扑图Fig.2 IPv6 network topology diagram in "translation" mode

2.4 网站安全

高校网络升级IPv6 后，较IPv4 网络安全性有了较大提升，IPv6 自身在网络的安全性上进行了严密的设计，IPSec 技术能有效提升IPv6 网络安全性，这是IPv6网络的优势。但也会面临基于IPv4/IPv6 网络非法入侵、嗅探和攻击，这些攻击可能导致网络瘫痪，因此，安全防护工作是升级后网络必须要重点考虑的问题，尤其是IPv4/IPv6 模式，面临着双重压力。目前绝大部分网络安全设备和系统都号称已支持IPv6 协议，但由于运营商网络一直没有启用IPv6，这些设备基本都没有在运营商IPv6 生产网上经过实战检验。当开通IPv6 之后，这些网络安全设备用户需要在网络环境中共同验证设备的完善性和可靠性，发现BUG 和修补BUG，在试错中不断改进。

高校信息部门大多数都没有专业的网络安全团队，网管人员对设备如何配置优化IPv6 策略也缺乏经验，包含厂商技术人员可能同样存在这个问题，因此，采取一步到位升级v4/v6 双栈的做法可能比较激进，风险有点大。

高校网站应该尽量采购已在大规模IPv6 网络上运行满一年、软件经过一次或多次大版本迭代、解决很多问题、功能完善、性能可靠的网络安全设备。虽然IPv6 升级改造比商业ICP 网站慢一步，但是更为稳妥和安全。

根据国家规定，网站必须通过信息系统安全等级保护认证。但目前新的国家信息系统安全等级保护制度（IPv6 版）还未推出，因此不能对网站IPv6 升级工作提供实施指导。在这种情况下，比较稳妥的办法是采用“两步走”策略:

第一步，网站采用“IPv4 源站+翻译设备”的模式。这种模式下，IPv4 源站的防护还是通过传统模式防护，防护方法较为成熟。但对于IPv6 的防护，主要会针对翻译设备的攻击。

第二步，待国家发布关于IPv6 的信息系统安全等级保护制度文件，关于IPV6 的安全防护技术会更加成熟，防护手段变得更加可操作性，升级为纯IPv6 的网站，对于IPv4 用户访问将会变得很少，采用外挂“v6 转v4”翻译设备方案，使网站IPv6 支持IPv4 访问。

网站采用“IPv4 源站+翻译设备”的模式，是可以解决IPv4 向IPv6 过渡的有效而经济的方案，完成IPv6网站的快速访问，实现过渡阶段的网络需求。后期可以安排充足的预算和时间，从容推进网站升级为网站IPv6。

3 IPv6 管理与措施

3.1 安全人员需要有关IPv6 协议的教育和培训

IPv6 属于下一代互联网技术，属于新技术范畴，技术应用与传统网络技术有较大的变化，需要加强技术人员的认识，提高技术管理水平，快速适应新技术发展需求。

3.2 安全设备及系统需要升级

IPv6 网络的升级与建设，原来的网络安全设备是基于IPv4 技术的网络设备，网络架构变化后，必须基于网络边界保护、网络区域划分等作出相应地调整，分析网络的路由和安全，调整安全设备位置，升级路由器、防火墙、堡垒机、日志服务器、入侵检测系统、认证服务器等安全设备软硬件，确保兼容IPv6。

隧道协议是IPv6 较为方便的部署，是将IPv4 数据流在隧道协议下把IPv4 通过软件封装成IPv6 隧道进行通信。虽然只需布置IPv6 的隧道服务器，即可实现IPv4与IPv6 的穿透网络通信，但缺陷是访问必须安装相应的支持IPv6 隧道协议的软件，也无法解决由于访问速度引起的网站打不开或内容缺失的问题。

IPv6 的网络自动分配IP 地址（DHCPv6）技术便于用户自动寻址，在协议支持下自动获得一个网络地址，网络管理上方便边界，但由于用户自行配置静态的IP 地址等因素，无法辨识网络地址的重复性，从网络安全管理来看，跟踪网络资源情况显得更加不易。

3.3 加强IPv6 信息安全的对策

IPv6 协议技术属于新网络技术，是下一代互联网技术，和过去应用IPv4 技术有较大的区别，在建设和应用中都带来了新的安全技术风险，因此，必须认真对待，钻研IPv6 的技术特点，提出防范的技术措施。

防范的技术措施主要是指IPv6 网络架构必须做好网络防火墙的安装和升级，以便于适应新网络环境，做好适用于IPv6 的DMZ 访问规则和安全过滤规则，做好访问用户策略，有效控制网络用户权限，防止非法访问，做好网络的隔离设计，迁移网络安全设备，保障网络的平稳过渡。完善入侵检测系统，以便于新网络环境下自转换和自适应，做好IPv6 数据包捕获、协议解析、规则解析和网络入侵事件分析等，做好安全应对技术措施。

改善技术手段主要是做好健全网络管理制度，完善防护机制。提高相关人员的网络安全意识，做好网络安全管理流程，做好网络安全应急处置办法，规范网络管理行为，积极建立主动性技术防范措施。开展IPv6 的网络认证，实施网络加密和认证，保障网络用户权限，做好安全审计系统，便于记录和规范网络行为、审查和评估网络风险。

4 建议

下一代互联网的技术将在网络的升级和建设中逐步成为主流网络技术，成为支持信息化业务的主要关键技术。在建设与部署上要遵循总体的建设原则，根据高校网络的建设实际情况，选择适合的建设方案，采用IPv4，IPv4向IPv6 过渡阶段和纯IPv6 的分布建设方法，稳步安全的建设IPv6。